type
status
date
slug
category
password
tags

Basic Summary

ENARSI Common Protocol and Ports
Protocol/Device
Protocol
Port
FTP
TCP
21
SSH
TCP
22
Telnet
TCP
23
SMTP
TCP
25
TACACS+
TCP
49
HTTP
TCP
80
HTTPS
TCP
443
LDP
TCP
646
BGP
TCP
179
DNS service
UDP
53
NTP
UDP
123
SNMP
UDP
161
BFD
UDP
3784
TFTP Servers List
DHCP
option 150
TFTP Server
DHCP
option 66
 
Routing Protocol Administrative Distance Table
Protocol
Type
Administrative Distance
Directly connected
-
0
EIGRP summary route
-
5
EIGRP (internal)
Internal
90
EIGRP (external)
External
170
OSPF
Internal
110
RIP
Internal
120
BGP (external)
External
20
BGP (internal)
Internal
200
Unreachable
-
255

配置集锦

IPv6 OSPFv3
 
IPv6 BGP
 
VRF-Lite over BGP场景 #467题
 
DMVPN配置
 
Logs and SNMP traps
 
ISP over BGP

534 Exam Questions Summary:

  1. OSPF Stub and EIGRP Stub
OSPF Stub: https://www.cnblogs.com/meili333/p/13302519.html
1)Stub要成对配置,area两端的router都要配置,屏蔽LSA 4 5
2)Stub配置完之后,LSA45没了,引入的静态路由网段也没了,但是多了O*IA这个默认路由,出口是ABR
3)虽然看不见静态路由网段,但是可以ping通
4)totally stub在ABR上加一个no summary,屏蔽LSA 3 4 5
https://community.cisco.com/t5/网络文档/原创-eigrp的stub特性测试/ta-p/4351057
1)EIGRP配置stub,不需要对端配置
2)EIGRP stub如果不跟参数,则默认透传connected 和 summary;summary能否在路由表体现,取决于前面router是否启动了auto-summary或者手动summary
3)EIGRP stub后面参数还可以跟static,或redistribute等
总结:OSPF和EIGRP的stub最大区别是,ospf配置stub后会默认生成一条默认路由;而eigrp不会生成默认路由。
 
  1. inbound配置route-map,next-hop配peer router interface ip
 
  1. set as-path prepend增加AS path
 
  1. Prevent loop from inter redistribute
 
  1. static route with AD,可以做备选路由
 
  1. ip prefix
 
  1. By default, only internal OSPF routes are redistributed into BGP. An OSPF type 5 LSA is originated by an Autonomous System Boundary Router (ASBR) and flooded within the OSPF area. These routes are generated by means of redistribution into OSPF from other protocols or by the redistribution of connected or static routes.
 
  1. Policy-based routing set ip next-hop and set ip default next-hop
https://www.cisco.com/c/en/us/support/docs/ip/ip-routed-protocols/47121-pbr-cmds-ce.html#anc12
在配置PBR时候,对于set ip next-hop,是强制配置了下一跳,只要路由表里有这个下一跳,就会用它;
而set ip default next-hop只是一个备胎,只要路由表里有destination信息,就按照路由表里的来;只有人家不行的时候,才想起来default这个specific next hop。
 
  1. bgp summary route:必须要加summary-only,不然还是会发specific route
 
  1. OSPF default-information originate always
default-information originate injects a default route (ie 0.0.0.0/0) in the routing table of the peers, while redistribute static will redistribute static routes (ip route xxx) into the routing protocol.
default-originate command is always specified in router configuration mode, whether in EIGRP, BGP, IS-IS, RIP, or OSPF. OSPF is the only routing protocol that supports an "always" parameter.
The "always" parameter tells OSPF to advertise a default route even if there is no defined default route in its routing table, by whatever means it would be in the routing table
OSPF Default-Information Originate Command
notion image
R1 has default route to internet, R2 and R3 doesn’t have this route in routing table.
R2 and R3 only learn internal routes (directly connected networks in this case). Now, let’s inject the default route into the OSPF domain.
In this way, R2 and R3 learns the default route
 
  1. Redistribute ospf into BGP
If you configure the redistribution of OSPF into BGP without keywords, only OSPF intra-area and inter-area routes are redistributed into BGP, by default. But then it says in order to distribute ONLY External Type 1 and Type 2 routes, you use the "external" keyword.
 
IPV6 Representation
EIGRP Stub
EIGRP vs OSPF: What's the Difference?
Designated Next-hop for specific traffic
Understanding BGP Best Path Selection & Manipulation
Remove R5-R3-R2-R4-R5 loop
Inject static route to OPSF
BGP Route Reflector
Redistribution of OSPF Routes into BGP
Configure the BGP Maximum-Prefix Feature
EIGRP Loop-Free Alternate Fast Reroute Feature
Route Manipulate
 
  1. Administrative Distance 是帮助路由器在决策有多个路由信息时选择最佳路径的重要因素之一。
在网络中,AD 通常指的是 "Administrative Distance"(管理距离)的缩写。Administrative Distance 是一个用于路由协议选择最佳路径的度量值。它表示路由器对特定路由来源的信任程度,或者说优先级。
不同的路由协议有不同的默认 Administrative Distance 值,以反映路由器对这些协议的信任程度。通常情况下,较小的 AD 值表示路由器对路由协议的信任程度更高,因此这条路由更可信,被认为是最佳路径。
以下是一些常见路由协议的默认 Administrative Distance 值:
  • 直连路由(Connected routes): 0
  • 静态路由(Static routes): 1
  • Enhanced Interior Gateway Routing Protocol (EIGRP): 90
  • OSPF (Open Shortest Path First): 110
  • RIP (Routing Information Protocol): 120
  • External BGP (eBGP): 20
  • Internal BGP (iBGP): 200
例如,如果一个路由器同时学到了来自 OSPF 和 RIP 的相同目标网络的路由信息,由于 OSPF 的 AD 值较低,路由器将选择使用 OSPF 提供的路由信息,因为 OSPF 被认为更可信。
 
  1. IP Event Dampening
The IP Event Dampening feature introduces a configurable exponential decay mechanism to suppress the effects of excessive interface flapping events on routing protocols and routing tables in the network. This feature allows the network operator to configure a router to automatically identify and selectively dampen a local interface that is flapping. Dampening an interface removes the interface from the network until the interface stops flapping and becomes stable. Configuring the IP Event Dampening feature improves convergence times and stability throughout the network by isolating failures so that disturbances are not propagated. This, in turn, reduces the utilization of system processing resources by other devices in the network and improves overall network stability.
IP事件阻尼(IP Event Dampening): IP事件阻尼功能引入了一种可配置的指数衰减机制,以抑制网络中接口频繁抖动事件对路由协议和路由表的影响。该功能允许网络操作员配置路由器以自动识别并有选择性地阻尼本地抖动的接口。对接口进行阻尼将接口从网络中移除,直到接口停止抖动并变得稳定。配置IP事件阻尼功能可以通过隔离故障使网络在故障发生时更快地收敛并提高稳定性。从而减少其他网络设备对系统处理资源的利用,提高整体网络稳定性。
 
  1. EIGRP引入路由AD=170
该子网在EIGRP域中被引入时,会具有AD值为170的特性,表示这是一个通过路由重分发手动引入的路由。
The subnet 10.1.1.1/24 is redistributed into EIGRP domain so it will have the Administrative Distance (AD) of 170. Therefore R4 also learns about this subnet advertised from R2 with the same AD of 170. On the other hand, subnet 10.1.1.0/24 is also redistributed into OSPF on R3 so R5 & R4 will learn about this subnet with AD of 110, which is better than the above AD of 170 so R4 will choose path R4 -> R5 -> R3 -> R2 -> R1
 
  1. BGP Disable-Connected-Check
notion image
R1:
R2:
 
  1. Advertise only the local networks to all neighbors in bgp
 
 
  1. OSPF Neighbors
After two routers discover each other by receiving Hellos from the other router, the routers perform the following parameter checks based on the receive Hellos: ■ Must pass the authentication process ■ Must be in the same primary subnet, including the same subnet mask ■ Must be in the same OSPF area ■ Must be of the same area type (regular, stub, not-so-stubby area [NSSA]) ■ Must not have duplicate RIDs ■ OSPF Hello and Dead timers must be equal If any of these items do not match, the two routers simply do not form a neighbor Mismatched hello parameter indicates that the packet came with a wrong parameter in this case the mask addresses.
 
  1. BGP Local Preference and Route-map
AS 111 wants to use AS 200 as preferred route path, so lower down AS 100’s local preference less than 100.
notion image
 
  1. 不相邻网络路由引入时用tag隔离某个网段
notion image
R5 should not receive any routes originated in the EIGRP domain.
 
  1. OSPF Virtual Link
We configure the virtual link between ABRs and we use the area virtual-link command. First, you need to specify the area where we need the virtual link which is area 1 in my example. The second step is to configure the OSPF router ID of the other ABR. Keep this in mind…you need to configure the OSPF router ID and NOT the IP address of the ABR.
 
 
  1. The order of preference for OSPF as per RFC 2328 is : intra-area routes, O inter-area routes, O IA external routes type 1, O E1 external routes type 2, O E2
 
  1. PBR Route-map和普通route-map的区别是,PBR route-map没被匹配的流量会用默认路由策略,而不是被deny掉。

84. RD Route Distinguisher;

理解路由区分符 (RD) 的重要性是在多租户环境中确保唯一性。通常,RD 的格式是 <16-bit ASN>:<32-bit number>。下面是一些例子:
  1. 示例 1:
      • 假设有一个服务提供商(ASN=65000)和两个客户(Customer A 和 Customer B)。
      • Customer A 的RD:65000:1
      • Customer B 的RD:65000:2
  1. 示例 2:
      • 对于较大的ASN,如 65000,可以使用不同的ASN段来为不同的客户分配RD。
      • Customer A 的RD:65001:1
      • Customer B 的RD:65002:1
在这些示例中,RD 用于唯一标识不同客户的网络前缀。例如,Customer A 和 Customer B 可能都使用相同的IP地址范围,但通过添加不同的RD,确保它们在服务提供商网络中是唯一的。这有助于避免冲突和混淆,因为每个RD都对应于一个特定的客户。
 
虽然路由目标(Route Target,RT)和路由区分符(Route Distinguisher,RD)的格式都是 <16-bit ASN>:<32-bit number>,但它们在网络中的作用和使用方式是不同的。这相似的格式主要是为了保持一致性和简化配置。
  1. 路由区分符 (RD):
      • 用于唯一标识来自不同客户的网络前缀。
      • RD 在每个VPN路由器上都必须是唯一的,以确保在整个服务提供商网络中,相同的IP地址范围能够被不同的VPN客户独立标识。
  1. 路由目标 (RT):
      • 用于控制客户网络前缀的导入和导出。
      • RT 不需要在整个网络中唯一,因为它们是用于控制路由的附加属性,而不是唯一标识路由的属性。
虽然它们的格式相同,但在配置中的上下文和作用是不同的。使用相似的格式可以减少混淆,并且在配置时更加一致。这种设计使得网络管理员更容易理解和配置BGP/MPLS VPN网络。
 
资源预留协议(Resource Reservation Protocol,简称RSVP)是一种用于在网络中执行流量工程的协议。其主要功能是分发标签(labels),这些标签用于优化网络路径,确保在网络中的数据流具有所需的性能和带宽。
以下是对 "RSVP 为流量工程分发标签" 的解释:
  1. 流量工程:
      • 流量工程是一种网络优化技术,通过合理规划网络资源,确保数据流能够按照预定的路径传输,以提高性能和资源利用率。
  1. RSVP 协议:
      • RSVP是一种控制协议,用于在网络中建立和维护通信路径。它允许主机或路由器请求在网络上的路径上分配特定的服务质量(QoS)参数。
  1. 分发标签:
      • 在流量工程中,RSVP可以分发标签,这些标签用于标识和区分不同的数据流。这些标签可以由网络设备用于流量分类、分级和路由决策。
通过在网络路径上分配和管理标签,RSVP允许网络管理员对数据流进行更细粒度的控制,以确保满足服务质量要求。这种标签分发的机制为实现不同的流量工程策略提供了一种有效的方式。
 
多协议 BGP(Multi-Protocol BGP,简称 MP-BGP)是对标准 BGP 协议的扩展,支持多种网络层协议。主要用途之一是在虚拟专用网络(VPN)中传播虚拟网络的可达性信息,使得不同的虚拟网络能够在互联网络中通信。
以下是对 "多协议 BGP 在VPN中传播虚拟网络的可达性信息" 的解释:
  1. 多协议 BGP(MP-BGP):
      • 标准的 BGP 协议最初设计用于传播IPv4路由信息。为了支持不同的网络层协议,例如IPv6等,多协议 BGP 被引入作为 BGP 的扩展。它允许 BGP 处理多种协议族的路由信息。
  1. VPN 中的应用:
      • 在虚拟专用网络(VPN)中,不同的客户可能需要在互联网络中进行通信。多协议 BGP 提供了一种机制,使得不同的虚拟网络可以在 BGP 控制平面中交换信息。
  1. 传播虚拟网络的可达性信息:
      • 多协议 BGP 在 VPN 中用于传播虚拟网络中各个站点的可达性信息,即路由信息。它可以传递包括客户路由目标(Route Target)等在内的关键信息,确保不同站点的路由信息能够被传播到相应的VPN中。
通过多协议 BGP,各个虚拟网络的路由信息得以在服务提供商网络中进行有效而可控的传播,从而实现了多租户网络的隔离和互通。
 

85. DMVPN Dynamic Multipoint Virtual Private Network

DMVPN(Dynamic Multipoint Virtual Private Network)是一种网络技术,用于构建灵活、动态和可扩展的虚拟专用网络(VPN)。DMVPN 的主要目的是简化远程站点之间的互联,提供直接的通信路径,同时保持动态性和易于扩展性
DMVPN(Dynamic Multipoint Virtual Private Network)中的 spoke 站点之间通常是通过虚拟路径(Virtual Tunnel Interface,VTI)进行通信,而不是直接相连。DMVPN 构建了一种动态、灵活的 VPN 解决方案,其中 spoke-to-spoke 通信是通过 hub 站点来实现的。
关键概念和组件包括:
  1. Hub 站点:
      • Hub 站点是一个中心节点,其他站点(Spoke)都与它直接相连。Hub 站点通常用于协调和管理 VPN 网络,同时也可提供 spoke-to-spoke 通信的路径。
  1. Spoke 站点:
      • Spoke 站点是分布在网络中的边缘节点。Spoke 站点之间的通信通常通过 hub 站点来实现。
  1. 虚拟路径(Virtual Tunnel Interface,VTI):
      • VTI 是在 DMVPN 中用于建立虚拟通信路径的关键组件。每个 spoke 站点与 hub 站点之间都建立了一个 VTI,通过这个虚拟路径来实现 spoke-to-spoke 的直接通信。
通过使用 VTI,DMVPN 提供了一种动态、自动化的方法,使 spokes 之间能够直接通信而无需手动配置每一对 spokes 之间的连接。这使得网络更加灵活,能够适应不断变化的需求和拓扑结构。
 
DMVPN(Dynamic Multipoint Virtual Private Network)的演进经历了三个主要的阶段,通常被称为 DMVPN Phase 1、Phase 2 和 Phase 3。每个阶段引入了新的功能和改进,以适应不断发展的网络需求和技术要求。
以下是每个阶段的主要特点:
  1. DMVPN Phase 1:
      • 时间范围: 2002 年左右开始推出。
      • 主要特点:
        • 首次引入了基本的 DMVPN 概念。
        • 使用 GRE(Generic Routing Encapsulation)封装来创建虚拟路径,提供点到点的连接。
        • Spoke-to-Spoke 通信需要通过 Hub,这被称为 Spoke-to-Spoke通信需要通过Hub,这被称为 "Hub-and-Spoke" 架构。
  1. DMVPN Phase 2:
      • 时间范围: 随后的几年中逐渐发展。
      • 主要特点:
        • 引入了 NHRP(Next Hop Resolution Protocol)协议,解决了 Spoke-to-Spoke 通信必须经过 Hub 的限制。
        • 增强了网络的灵活性和可伸缩性,支持 spoke 之间的直接通信。
        • 优化了数据传输路径,提高了网络性能。
  1. DMVPN Phase 3:
      • 时间范围: 随着技术的不断发展,特定功能逐渐加入,具体时间可能有所不同。
      • 主要特点:
        • 引入了动态的 spoke-to-spoke 密钥管理,提高了安全性。
        • 支持 IKEv2(Internet Key Exchange version 2)协议,提供更强大的密钥交换和认证功能。
        • 通过引入额外的技术和协议改进了 QoS(Quality of Service)和其他性能方面的特性。
每个阶段的演进都旨在改善 DMVPN 的功能、性能和安全性,以适应不断发展的网络环境和需求。
 

DMVPN的解释:

DMVPN 是一种网络技术,类似于创建一个"虚拟专用网络",使得不同的地点之间能够直接、安全地通信。这就好像把多个分散的办公地点连接在一起,让它们像是在同一个网络中一样。

DMVPN的类比:

想象一家公司有多个分布在不同城市的办公室。每个办公室都有自己的网络,但它们希望直接互相通信,就像是在同一个大办公室一样。DMVPN 就像是连接这些办公室的一条魔法通道,让它们能够直接交流而不用经过总部。

DMVPN的配置方法:

  1. Hub-and-Spoke设置:
      • 首先,选择一个办公室作为中心(Hub),其他办公室成为支点(Spoke)。
      • 在 Hub 上设置一个中心点,使得所有的通信都可以经过这个中心点。这就像是在公司总部设置一个总机一样,其他分支办公室都通过这个总机进行通信。
  1. 虚拟通道的建立:
      • 接下来,通过一种叫做 GRE(Generic Routing Encapsulation)的技术,在各个办公室之间建立虚拟通道。这就好像在不同的办公室之间搭建了一条虚拟的高速公路,让数据能够快速流通。
  1. 直接办公室通信:
      • 引入 NHRP(Next Hop Resolution Protocol),让各个办公室可以直接互相找到对方,而不用通过总部。这就好像各个办公室之间有了一种直接拨打电话的能力,而不用通过总机转接。
通过这种配置,DMVPN 使得不同的办公室能够像在同一个网络中一样,直接、灵活地进行通信。这对于公司内部分散的办公地点之间的信息共享和协作非常有用
 
 
NHRP(Next Hop Resolution Protocol)协议用于动态地解析逻辑 IP 地址与物理 NBMA(Non-Broadcast Multi-Access)地址之间的映射,这里的 NBMA 地址通常指的是接口的物理地址,而不是隧道的逻辑地址。
在一个 mGRE(Multipoint Generic Routing Encapsulation)环境中,多个站点通过 GRE 隧道进行通信。这些站点的 NBMA 地址是它们在 NBMA 网络上的物理地址,例如接口的 MAC 地址。NHRP 协议允许站点在需要与其他站点直接通信时,通过动态地解析逻辑 IP 地址到 NBMA 地址的映射,实现对方的直接访问。
总结来说,NHRP 通常用于解析接口的物理 NBMA 地址,以支持 GRE 隧道中站点之间的直接通信。
 
  1. Set Hub Router as DR in DMVPN topology
Set Hub Router OSPF priority greater than 1
0 means never DR, 1 is the default, highest wins
 

88. 路由标识添加到IPv4路由前,使得同一个地址段路由变得不同

A: RD is prepended to the IPv4 route to make it unique.
假设有两个不同的虚拟私人网络(VPN),它们都使用了相同的私有IP地址空间(例如,10.0.0.0/8)。为了确保在整个网络中的唯一性,我们可以使用Route Distinguisher(RD)来区分它们。
假设第一个VPN的RD为100:1,而第二个VPN的RD为200:1。现在,有一个相同的IPv4路由,比如10.1.1.0/24,在这两个VPN中都存在。为了使它们在整个网络中唯一,RD将被添加到这些路由之前。
在第一个VPN中,10.1.1.0/24可能会表示为100:1:10.1.1.0/24,而在第二个VPN中,同样的IP地址可能表示为200:1:10.1.1.0/24。通过这样的方式,即使它们使用相同的私有IP地址空间,通过添加RD,这两个VPN中的路由仍然能够在整个网络中保持唯一。
 
E: The VPNv4 address is used to advertise the MPLS VPN label.
“VPNv4地址用于宣传或推广MPLS VPN标签。”在MPLS(多协议标记交换)VPN中,VPNv4地址是指用于标识和区分虚拟私人网络的IPv4地址。通过宣传这些VPNv4地址,系统可以为MPLS VPN分配和管理相应的标签,从而建立虚拟私人网络的连接。
 
 
  1. MPLS Label Characteristic
MPLS(Multiprotocol Label Switching)是一种网络技术,它在传输数据时使用标签来提高网络性能和效率。传统的互联网路由是基于IP地址的,而MPLS引入了标签,使数据包在网络中更快速、更有效地传递。
在MPLS网络中,路由器给数据包附加一个短标签,标签描述了数据包的转发路径。这个标签不是基于IP地址的,而是在网络中的每个路由器上事先设定好的。因此,当数据包在网络中传输时,路由器只需查看标签而不是目标IP地址,从而加速数据包的转发过程。
MPLS的主要优势之一是提高了网络的性能和灵活性,同时简化了路由表的查找过程。这使得网络能够更有效地处理大量数据流量,提供更快的传输速度和更好的服务质量
C. LDP uses TCP for reliable delivery of information. D. An MPLS label is a short identifier that identifies a forwarding equivalence class.
C. LDP使用TCP进行可靠的信息传递:
LDP(标签分发协议)使用TCP(传输控制协议)作为其基础传输协议,以确保信息的可靠和有序传递。TCP提供了一个可靠的、面向连接的通信渠道,这对于在标签交换路由器(LSR)之间正确交换MPLS标签信息至关重要。这确保了标签在整个MPLS网络中准确和一致地分发。
D. MPLS标签是用于标识转发等效类的短标识符:
MPLS标签确实是一个短且固定长度的标识符,用于标识转发等效类(Forwarding Equivalence Class,FEC)。在MPLS的背景下,FEC是一组以相同方式在MPLS网络上传递的IP数据包。MPLS标签在标签交换范式中扮演了关键角色,使路由器能够基于标签而不是传统的IP路由表查找做出转发决策。这使得在MPLS网络内部实现更快速、高效的数据包转发
 
92.DMVPN的tunnel mode:transport、tunnel
Dynamic Multipoint Virtual Private Network (DMVPN) 是一种用于创建动态、灵活的VPN网络的技术。在 DMVPN 中,有两种主要的隧道模式,分别是 tunneltunnel mode transport
  1. tunnel 模式:
      • tunnel 模式下,DMVPN使用GRE(Generic Routing Encapsulation)隧道进行通信。
      • 这种模式下的隧道是点对点的,每个 spoke 与 hub 之间建立一个单独的 GRE 隧道。
      • tunnel 模式适用于需要直接 spoke-to-spoke 通信的场景,但随着 spoke 的增加,隧道数量也会增加,可能会导致管理上的复杂性。
  1. tunnel mode transport 模式:
      • tunnel mode transport 模式下,DMVPN使用UDP封装来实现隧道。
      • 这种模式下,多个 spoke 可以通过单个 UDP 隧道与 hub 直接通信,而无需建立多个点对点的隧道。
      • tunnel mode transport 模式适用于减少隧道数量,提高扩展性,但通常需要更多的配置。
总体而言,选择使用哪种模式取决于网络的需求和设计目标。如果需要 spoke 之间直接通信,而且 spoke 的数量较少,可能会选择 tunnel 模式。如果网络规模较大,需要更好的扩展性和简化管理,那么 tunnel mode transport 模式可能更适合
在 DMVPN(Dynamic Multipoint Virtual Private Network)上使用 IPSec 时,通常使用 transport mode 而不是 tunnel mode,这主要是出于性能和灵活性的考虑。
  1. Overhead减少:
      • transport mode 下,只有原始 IP 数据包被加密,而不包括额外的 IP 标头。这减少了由 IPSec 带来的额外开销,因为不需要为整个原始 IP 数据包添加新的 IPSec 标头和尾部。
      • tunnel mode 下,整个原始 IP 数据包都被包含在新的 IPSec 标头中,增加了额外的封装开销。
  1. 灵活性:
      • transport mode 允许 IPSec 直接在原始 IP 标头之上添加封装,这使得更容易在 DMVPN 中实现动态点对点连接。
      • tunnel mode 通常被用于创建站点到站点(Site-to-Site)VPN,它在整个数据包上添加 IPSec 标头,更适合在不同网络之间创建隧道。
  1. 适应性:
      • 由于 DMVPN 的动态性质,使用 transport mode 可以更好地适应动态网络拓扑变化。tunnel mode 更适合静态的站点到站点连接,而 transport mode 在动态环境中更为灵活。
总体而言,选择 transport mode 是为了最小化额外的封装开销,并提供更灵活的配置,以适应 DMVPN 的动态性质。
  • crypto isakmp: This command is used to enter the ISAKMP configuration mode.
  • key cisco: This part of the command specifies the pre-shared key to be used. In this example, the key is set to "cisco."
  • address 0.0.0.0: This part of the command specifies the remote peer's IP address. In this case, 0.0.0.0 is a wildcard, meaning that the key is configured for any remote peer.
 
  1. MPLS标签格式
在 MPLS(Multiprotocol Label Switching)中,MPLS标签(Label)用于标识数据包的转发路径和处理规则。标签通常是一个32位的字段,根据您提供的信息,其中的各个部分如下:
  1. 20-bit Label:
      • MPLS标签的主体部分,占用了32位字段中的前20位。这部分用于唯一标识一个特定的前缀或转发等效类(Forwarding Equivalence Class,FEC)。每个标签对应于一个特定的转发规则或路径。
  1. 3-bit Traffic Class:
      • 接下来的3位用于定义流量类别(Traffic Class),有时也称为Experimental(实验性)比特。这部分的具体用途可能会因网络运营商或特定的MPLS实现而有所不同。
  1. 1-bit Bottom of Stack (S):
      • 单个比特用于指示当前标签是否是堆栈的底部。当这个比特为1时,表示这是堆栈的底部标签;为0时,表示还有其他标签在上面。如果是底部标签,通常会触发MPLS的标签弹出操作。
  1. 8-bit Time-to-Live (TTL):
      • 最后的8位用于存储TTL(Time-to-Live),这是一个计数器,限制了数据包在网络中的最大生存时间。每个路由器在转发数据包时都会减小TTL值,当TTL达到零时,数据包会被丢弃。
综合起来,这32位的MPLS标签字段被分为四个部分,用于提供唯一的标识、流量类别、堆栈信息和TTL。这样的结构允许MPLS网络通过标签交换的方式来高效地转发数据包,而不必每次都基于目标IP地址进行查找。
 
假设我们有一个MPLS网络,其中涉及到两个路由器:Router A和Router B。我们将看一下一个简单的MPLS标签转发规则示例。
  1. Router A:
      • 接收到一个IP数据包,该数据包的目的IP地址指向目标网络(例如,10.1.1.0/24)。
      • Router A为这个数据包分配一个MPLS标签,例如,标签为1001。
      • MPLS标签的Traffic Class字段设置为默认值,Bottom of Stack(S)为0(因为这是堆栈中的第一个标签),TTL设置为某个值(比如,64)。
  1. 数据包的MPLS标签格式:
      • Label: 1001
      • Traffic Class: 默认值
      • Bottom of Stack (S): 0
      • TTL: 64
  1. Router A将数据包发送到Router B:
      • Router A在发送数据包时,将MPLS标签附加到数据包头部。
      • 数据包在MPLS网络中传输,Router B作为下一跳接收到该数据包。
  1. Router B:
      • Router B检查MPLS标签,发现标签为1001。
      • 根据MPLS转发表,Router B知道标签1001对应于目标网络10.1.1.0/24。
      • Router B弹出MPLS标签,将数据包转发到目标网络。
 
MPLS在寻找下一跳时使用标签(Label)来进行路由,而不是直接使用IP地址,从而带来了一些优势,尤其是在大规模网络环境中。
在传统的IP路由中,每个路由器都需要维护一个较大的路由表,这表中包含了大量的目标IP地址与对应的下一跳信息。这个表可能会变得非常复杂,特别是在大型的互联网网络中。每当有一个数据包到达时,路由器都需要查找目标IP地址,并根据这个地址找到下一跳信息,这可能涉及到多次查找和匹配。
而在MPLS网络中,路由器根据标签来进行转发,这个标签可以直接映射到特定的下一跳或路径。因为标签是在网络内事先配置的,而不是基于目标IP地址的查找,所以路由器不必每次都对目标IP地址进行复杂的查找操作。这降低了查找的复杂性,提高了转发速度,使网络更加高效。
总体而言,MPLS的这种机制对于大型网络来说更为可扩展和高效,特别适用于服务提供商网络,企业网络或其他需要处理大量数据流量的场景。
 
  1. Label-Switched Path (LSP) - The path that a labeled packet traverses through a network, from label imposition to disposition
数据包进入MPLS域: 当一个IP数据包进入支持MPLS的路由器时,这个路由器可以决定是否对该数据包进行MPLS标签的附加。
标签附加: 如果路由器决定要使用MPLS,它会为该数据包附加一个MPLS标签。这个标签是在路由器上预先配置的,通常与特定的路径或服务质量规则相关联。
MPLS标签转发: 数据包现在带有MPLS标签,它在MPLS网络中沿着预定的路径传输。每个经过的MPLS路由器都根据标签来决定如何转发数据包,而不是依赖于目的IP地址。
标签弹出: 当数据包到达MPLS网络的出口点时,或者需要进入一个不支持MPLS的网络时,最后一个MPLS路由器会从数据包头部移除MPLS标签,将其恢复为普通的IP数据包。
标签附加的主要目的是通过MPLS网络中的标签转发来提高转发效率,并允许网络运营商实现更灵活的流量工程和服务质量控制。这样,路由器可以根据标签而不是目的IP地址来进行转发决策,减轻了对路由表的压力。
The imp-null (implicit null) tag instructs the upstream router to pop the tag entry off the tag stack before forwarding the packet. Note: pop means remove the top MPLS label
 
102 MPLS中几种Label
让我们逐个解释这些MPLS(Multiprotocol Label Switching)中的概念:
  1. Entropy Label:
      • 解释: 熵标签是一种MPLS标签,用于提高流量工程的效率。它通常用于多路径负载均衡场景。熵标签的值基于数据包头部的一些字段,例如源和目的IP地址,以提供更均匀的流量分布。
      • 用途: 在具有多个路径的网络中,通过引入熵标签,可以使流量在不同路径上更均匀地分布,从而避免某些路径负载过重的问题。
  1. Implicit Null Label:
      • 解释: 隐式空标签是一种MPLS标签,用于指示数据包在MPLS网络中的下一步是弹出(去掉)标签而不是继续转发。即,它表示数据包在进入下一个MPLS节点时,标签将被弹出,而不是继续传递。
      • 用途: 隐式空标签通常用于减小MPLS头部的大小,提高网络效率。当数据包达到MPLS网络的末端时,该标签会被自动弹出,而无需额外的标签转发操作。
  1. Explicit Null Label:
      • 解释: 显式空标签是一种MPLS标签,它要求明确指定在数据包传输过程中弹出标签的操作。与隐式空标签不同,显式空标签需要在标签栈中明确地使用一个特殊的值来表示空标签。
      • 用途: 显式空标签通常用于特定的网络配置场景,以确保在数据包传输过程中明确地指定弹出标签的操作。
  1. Inbound Label Binding Filtering:
      • 解释: 入站标签绑定过滤是一种MPLS路由器上的功能,允许管理员配置策略以控制哪些入站MPLS标签绑定将被接受,哪些将被拒绝。
      • 用途: 入站标签绑定过滤可用于加强安全性、改善网络性能,以及控制特定标签的转发路径。管理员可以定义规则,只允许特定的标签或标签范围通过,从而对网络进行更细粒度的控制。
 
  1. Which two protocols work in the control plane of P routers across the MPLS cloud?
在MPLS(Multiprotocol Label Switching)云中,P路由器(Provider Edge Router)的控制平面(Control Plane)通常使用两种主要的协议。这两种协议用于构建MPLS标签转发表、协商标签分发等操作。这两个协议是:
  1. LDP (Label Distribution Protocol):
      • 作用: LDP是一种基于TCP的协议,用于在MPLS网络中分发标签。它在MPLS网络的控制平面中负责建立和维护标签分发表,确保路由器能够正确地将标签与特定的前缀相关联。
      • 用途: LDP用于在MPLS网络中动态地建立和维护标签,以确保数据包能够按照预定的标签路径进行转发。
  1. RSVP (Resource Reservation Protocol):
      • 作用: RSVP是一种用于资源预留的协议,它也可以在MPLS网络中用于建立标签分发表。RSVP-TE(Traffic Engineering)是一种RSVP的扩展,支持流量工程和路径选择。
      • 用途: RSVP可以在MPLS网络中用于创建有关路径的信息,特别是在需要进行流量工程、服务质量(QoS)保障等场景下。RSVP-TE支持创建明确的路径,使得网络管理员能够更加灵活地管理流量的路径选择
 
  1. LSR Label Switch Router and LER Label Edge Router的区别
Label Edge Router(LER)和Label Switch Router(LSR)是Multiprotocol Label Switching(MPLS)网络中两种不同类型的路由器,它们在MPLS中的角色和功能上有一些区别。
  1. Label Edge Router (LER):
      • 角色: LER通常位于MPLS网络的边缘,负责与传统IP网络的接口。它是MPLS网络的入口点,将传统IP数据包引入MPLS域。
      • 功能: LER负责为数据包分配MPLS标签,并在数据包离开MPLS域时将标签去除。它还负责决定数据包进入MPLS域的入口点,以及数据包离开MPLS域的出口点。
  1. Label Switch Router (LSR):
      • 角色: LSR位于MPLS网络的核心,负责在MPLS域内转发数据包。它是在MPLS网络中进行标签交换和数据包路由的关键设备。
      • 功能: LSR的主要功能是根据标签信息决定数据包的转发路径,同时负责在传输过程中对标签进行交换。LSR并不关心数据包的源和目的IP地址,而是根据标签信息进行路由决策。
       
107.no ip split-horizon eigrp 111
该配置是在 Hub 设备上的 Tunnel1 接口上进行的配置,涉及到 EIGRP(Enhanced Interior Gateway Routing Protocol)路由协议的设置。
解释如下:
  1. interface Tunnel1
      • 进入 Tunnel1 接口的配置模式,表示接下来的配置将应用于该接口。
  1. no ip split-horizon eigrp 111
      • no 表示取消之前的配置。
      • ip split-horizon 是 EIGRP 配置命令,用于防止路由环路(routing loops)的产生。
      • eigrp 111 表示该配置将应用于 EIGRP 进程号 111。
      • 因此,no ip split-horizon eigrp 111 表示取消 EIGRP 进程号为 111 的 Tunnel1 接口上的分割视野(split-horizon)配置。
分割视野是一种路由协议的特性,它限制了从一个接口学到的路由信息不会被再次通过相同的接口发送出去,以防止形成路由环路。
 
  1. 总体来说,通过将IP前缀与路由区分器(RD)结合,服务提供商PE设备能够为客户站点生成唯一的VPN-IPv4前缀,这有助于确保在MPLS VPN网络中的唯一性,即使客户站点使用了全球非唯一的IP地址
使用VPN-IPv4前缀结合路由区分器(RD)确实允许客户在MPLS VPN网络中使用私有IP地址,包括类似于C类私有IP地址(例如,192.168.0.0/16)的地址范围。
通过引入路由区分器(RD),MPLS VPN网络能够将这些私有IP地址唯一标识为特定的VPN。即使在不同的VPN中使用相同的私有IP地址,由于每个VPN都有不同的RD,最终生成的VPN-IPv4前缀也是唯一的。这样,不同VPN中的相同私有IP地址不会相互冲突。
例如,如果有两个客户分别使用了私有IP地址范围 192.168.1.0/24,它们可以分别与不同的RD结合,生成唯一的VPN-IPv4前缀,如下所示:
  • 客户A的VPN-IPv4前缀:RD_A:192.168.1.0/24
  • 客户B的VPN-IPv4前缀:RD_B:192.168.1.0/24
在MPLS VPN网络中,这两个VPN-IPv4前缀是唯一的,因为它们包含了不同的路由区分器(RD)。这种方式确保了在MPLS VPN中,即使使用了私有IP地址,也能够保持唯一性。
 
  1. The label switch path must be available between the local and remote PE routers
The statement "The label switch path must be available between the local and remote PE routers" refers to a key requirement in MPLS (Multiprotocol Label Switching) networks, especially in the context of MPLS Layer 3 VPN services.
In MPLS, a Label Switched Path (LSP) is a predetermined path through the network that is used to forward labeled packets. In the context of MPLS Layer 3 VPNs, the requirement for the label switch path between local and remote PE routers is crucial for establishing communication between different sites in the VPN.
Here's a breakdown of the statement:
  1. Label Switch Path (LSP): LSP is the path that a labeled packet takes through the MPLS network. It is established and maintained by the Label Distribution Protocol (LDP) or RSVP-TE (Resource Reservation Protocol - Traffic Engineering).
  1. Local and Remote PE Routers: In the context of MPLS Layer 3 VPNs, Provider Edge (PE) routers are located at the edges of the service provider network and connect to customer sites. "Local PE" refers to the PE router in the source site, and "Remote PE" refers to the PE router in the destination site.
  1. Availability of Label Switch Path: For communication between two sites in an MPLS Layer 3 VPN, there must be an available label switch path between the local (source) and remote (destination) PE routers. This means that the MPLS network must have an established and operational LSP between these routers.
  1. Role of LSP in MPLS Layer 3 VPNs: The LSP ensures that labeled packets originating from a customer site are forwarded through the MPLS network along the established path to reach the destination site's PE router. Labels are swapped along the way to maintain the privacy and integrity of customer traffic.
Ensuring the availability and proper functioning of the label switch path is crucial for the success of MPLS Layer 3 VPN services, as it forms the foundation for efficient and secure communication between different sites within the VPN.
 
  1. Secure Browser means HTTPS, TCP 443
"Port 80" 和 "Port 443" 是计算机网络中常用的端口号,它们通常用于不同的网络服务。以下是它们的一般用途:
  1. Port 80:
      • 端口号80是HTTP(Hypertext Transfer Protocol)的默认端口。HTTP是用于在Web上传输超文本的协议,通常用于访问网页。
      • 当你在浏览器中输入一个网址(例如,http://www.example.com),浏览器默认会使用端口80来连接该网站的Web服务器,以获取网页内容。
  1. Port 443:
      • 端口号443是HTTPS(Hypertext Transfer Protocol Secure)的默认端口。HTTPS是HTTP的安全版本,通过使用SSL/TLS协议对数据进行加密和认证来提供安全性。
      • 当你在浏览器中输入一个以 "https://" 开头的网址时,浏览器会使用端口443来与Web服务器建立加密的安全连接,以保护数据传输的隐私和完整性。
  1. Port 123:
      • 端口号 123 使用UDP协议,通常用于NTP(Network Time Protocol)服务。
      • NTP是一种用于同步计算机系统时钟的协议,它允许计算机在网络上同步其时钟,以确保它们具有一致的时间基准。
  1. Port 514:
      • 端口号 514 使用UDP或TCP协议,通常用于Syslog服务。
      • Syslog是一种用于收集和传输设备或应用程序生成的日志消息的标准协议。端口514通常与Syslog服务器通信,以接收日志消息并记录事件。
总体而言,这两个端口号用于不同的网络服务,分别用于时间同步(NTP,端口123)和日志记录(Syslog,端口514)。端口号的分配是由Internet Assigned Numbers Authority(IANA)进行管理的,以确保全球范围内的一致性和标准化
 
  1. IPv6 ND Inspection
"IPv6 ND Inspection" 指的是IPv6邻居发现检测,主要用于学习和保护在Layer 2(数据链路层)邻居表中的无状态自动配置地址的绑定。让我们逐步解释这两个方面:
  1. 学习 IPv6 地址:
      • 在IPv6网络中,邻居发现(Neighbor Discovery,ND)是一种机制,用于在同一链路上的设备之间解析IPv6地址和查找对应的链路层地址(MAC地址)。
      • "IPv6 ND Inspection" 通过监视网络流量,学习并记录设备之间的IPv6地址和链路层地址之间的绑定关系。
  1. 保护 Stateless Autoconfiguration 地址:
      • Stateless Address Autoconfiguration(SLAAC)是IPv6中的一种自动配置方式,允许设备通过使用前缀信息进行地址配置,而不需要DHCP服务器的参与。
      • "IPv6 ND Inspection" 确保了在Layer 2邻居表中的无状态自动配置地址的绑定是受保护的。这意味着它会检测并记录由SLAAC配置的IPv6地址与相应设备的MAC地址之间的关系,以便网络可以有效地了解和管理设备。
综合起来,"IPv6 ND Inspection" 提供了对IPv6网络中邻居发现过程的监控和保护机制。通过学习并记录IPv6地址与链路层地址的绑定,网络管理员可以更好地管理设备,并确保无状态自动配置地址的安全使用。这对于网络的性能、安全性和可管理性都是重要的方面。
 
  1. IPv6 RA Guard
关于IPv6 RA Guard的说法中,"它在IPv6流量被隧道化的环境中无法提供保护"是正确的。
IPv6 RA Guard(路由器通告守卫)是一种安全功能,用于防范本地网络上的虚假路由器通告。它通过检查路由器通告(RA)消息,确保只有来自授权路由器的有效RA被接受。RA Guard有助于防范各种攻击,如可能导致流量重定向或网络配置错误的虚假路由器通告。
然而,在IPv6流量被隧道化的环境中,IPv6 RA Guard的有效性可能受到限制。在隧道化环境中,IPv6流量可能经过封装机制,如IPv6 over IPv4隧道(例如,6to4、Teredo)或IPv6 over IPv6隧道(例如,GRE或IPsec隧道)。在这种情况下,RA Guard可能难以检查封装的数据包中的IPv6头部,从而降低检测和缓解虚假RA的能力。
值得注意的是,尽管IPv6 RA Guard在许多场景中提供了有价值的保护,但其有效性可能因网络架构的具体情况以及IPv6隧道机制的存在而有所不同。
 
  1. Unicast RPF
配置单播反向路径过滤(Unicast RPF)检查模式时,有两种模式:
  • strict mode,使用 "rx" 关键字启用严格检查模式。
  • loose mode, 使用 "any" 关键字启用仅存在检查模式。
 
  1. 使用哪个配置功能来阻止虚假的路由器通告,而不使用IPv6 Router Advertisement Guard功能?
B. 具有与路由通告相关的混杂端口的PVLANs,以及用于节点的隔离端口。
解释: 在阻止虚假路由器通告方面,可以使用 PVLAN(Private VLAN)功能,结合设置混杂端口(promiscuous ports)关联到路由通告以及为节点设置隔离端口(isolated ports)。通过这种方式,PVLAN 提供了一种在网络中限制和控制路由通告的方法,而不仅仅依赖于IPv6 Router Advertisement Guard 功能。
混杂端口在私有 VLAN 中的作用是允许流量流入和流出私有 VLAN,它是连接到普通网络的通道。在上下文中,混杂端口被提到,可能是指通过配置混杂端口与路由通告相关联,用于阻止虚假的路由器通告。混杂端口的特性允许与私有 VLAN 以外的网络进行通信,使其在特定网络配置中的作用更加灵活。
 
私有 VLAN 中,有三种主要的端口类型,分别是:
  1. 主端口(Primary Port): 主端口可以通信,发送和接收数据包,但它只能与二级 VLAN 的次级端口进行通信。
  1. 次级端口(Secondary Port): 次级端口可以与主端口进行通信,但不能直接与其他次级端口通信。它是主端口的附属,只能与主端口进行交流。
  1. 混杂端口(Promiscuous Port): 混杂端口可以与主端口和其他混杂端口通信。它是与二级 VLAN 中的所有端口进行通信的入口。
 
  1. Show policy-map control-map
notion image
 
  1. aaa new-model
To enable AAA, you need to configure the aaa new-model command in global configuration.
Note: Until this command is enabled, all other AAA commands are hidden.
The aaa new-model command immediately applies local authentication to all lines and interfaces (except console line line con 0). If a telnet session is opened to the router after this command is enabled (or if a connection times out and has to reconnect), then the user has to be authenticated with the local database of the router. It is recommended to define a username and password on the access server before you start the AAA configuration, so you are not locked out of the router.
 
  1. Router Advertisement Guard
这段文本描述了设备在进行 RA-guard(Router Advertisement Guard)时,可能具有的不同角色。RA-guard 是一种网络安全特性,用于防止恶意 Router Advertisement(RA)的传播,确保网络中的 Router Advertisement 是合法且受信任的。
在 RA-guard 中,设备可以被分配以下不同的角色:
  1. Host (默认角色):
      • 主机角色的设备只能接收来自有效路由器的 RA(Router Advertisement),不会接收 RS(Router Solicitation)。这确保了主机只与受信任的路由器通信。
  1. Router:
      • 路由器角色的设备可以接收 RS(Router Solicitation)并发送 RA(Router Advertisement)。这表示设备是网络中的合法路由器,能够为其他设备提供网络配置信息。
  1. Monitor:
      • 监视器角色的设备既能接收有效的 RA,也能接收潜在的恶意 RA 和所有的 RS。这个角色通常用于监视网络中的 RA 和 RS 活动,以便检测可能存在的安全问题。
  1. Switch:
      • 交换机角色的设备信任 RA,并将其广播以同步状态。这通常用于在网络中传播合法的 RA 信息,以确保网络中的其他设备能够及时获得正确的配置。
这种角色分配有助于增强网络的安全性,确保合法的路由器提供配置信息,同时监视和限制对于 RA 和 RS 的潜在滥用。不同角色的设备在 RA-guard 中扮演不同的角色,以实现网络安全的目标。
 
  1. 这个access-group在CoPP中应用时,deny掉的ip实际上是在CoPP中被豁免的IP,不会被应用drop策略。
 
  1. IPv6 access-class vs IPv6 traffic-filter
The difference depends on whether you want to filter IPv6 traffic sent to the router or through the router. The 'ipv6 traffic-filter' command is used to filter IPv6 traffic flowing through an interface:
The 'ipv6 access-class' command is used to filter IPv6 traffic destined to the router (i.e. management traffic).
 
  1. copy ios-file
An engineer is trying to copy an IOS file from one router to another router by using TFTP.
On the destination router, you would use option A:
A. Copy the file to the destination router with the copy tftp: flash: command
On the source router, you would use option B:
B. Enable the TFTP server on the source router with the tftp-server flash: <filename> command
 
  1. 网管用serial口连R1,想SSH R2,就需要在line con 0下配置transport out ssh;如果SSH连的R1,那么再SSH R2,就需要在line vty 0 4下配置SSH transport SSH了
 
  1. IPv6 Router Advertisement (RA) Guard的两种有效模式:
B. 主机模式(Host mode) C. 路由器模式(Router mode)
解释:
  • 主机模式(Host mode): 在主机模式下,设备被配置为接收IPv6 Router Advertisement(RA)消息,但不允许设备发送RA消息。这种模式适用于普通终端设备,如计算机、手机等,它们需要接收RA消息以获取IPv6配置信息,但通常不会发送RA消息。
  • 路由器模式(Router mode): 在路由器模式下,设备被配置为允许发送和接收IPv6 Router Advertisement(RA)消息。这种模式适用于网络中的路由器设备,因为它们通常需要发送RA消息来通告网络配置信息,并且还会接收其他路由器发送的RA消息。
IPv6 RA Guard通过这些模式来防范潜在的网络攻击,确保只有合法的设备能够发送RA消息,从而维护网络的安全性和完整性。
支持私有VLAN(Private VLAN): 私有VLAN是一种网络设计技术,用于将单个VLAN细分为多个子VLAN,以提高网络的隔离性。IPv6 RA Guard通常与私有VLAN结合使用,以确保在私有VLAN中的设备只能接收合法的RA消息,防止在这些VLAN中的潜在攻击。
因此,选项B表明IPv6 RA Guard功能是受支持的,可以在私有VLAN中使用,以加强对RA消息的安全性检查。
 
  1. Unicast Reverse Path Forwarding (uRPF) 是一种用于防范IP源地址欺骗攻击的安全特性。已经在服务提供商网络上配置了uRPF,以保护网络免受伪造源地址的攻击。以下是关于uRPF模式的两种有效选项:
A. 严格模式(Strict mode) E. 松散模式(Loose mode)
解释:
  • 严格模式(Strict mode): 在严格模式下,uRPF检查输入接口的路由表,要求数据包的源地址必须存在于相应的路由表中,并且必须通过与数据包到达的接口相匹配的路径返回。如果不匹配,则数据包被视为违规。
  • 松散模式(Loose mode): 在松散模式下,uRPF检查输入接口的路由表,但它允许数据包的源地址存在于任何路由表中,而不仅仅是通过与数据包到达的接口相匹配的路径。只要存在一条通往源地址的路径,即可通过验证。
这两种模式都有助于防范源地址欺骗攻击,但它们在验证源地址的方式上有所不同,严格模式要求更为严格。在实际部署中,选择合适的uRPF模式取决于网络的特定要求和配置。
 
  1. MPLS的三个优势:
 
Select three benefits of setting up a MPLS Network from the below options. (Choose three.) A. Connection less Service B. Security as good as connection-oriented VPNs C. Provides IPS level intelligence to filter packets. D. Integrated QoS support E. All variations of Static routes are supported
 
答案是 BDE,examtopic上给错了。
MPLS是面向连接的,https://www.metaswitch.com/knowledge-center/reference/what-is-mpls-and-gmpls
Traditional IP networks are connectionless: when a packet is received, the router determines the next hop using the destination IP address on the packet alongside information from its own forwarding table. The router's forwarding tables contain information on the network topology, obtained via an IP routing protocol, such as OSPF, IS-IS, BGP, RIP or static configuration, which keeps that information synchronized with changes in the network.
MPLS similarly uses IP addresses, either IPv4 or IPv6, to identify end points and intermediate switches and routers. This makes MPLS networks IP-compatible and easily integrated with traditional IP networks. However, unlike traditional IP, MPLS flows are connection-oriented and packets are routed along pre-configured Label Switched Paths (LSPs).
 
以下是设置MPLS网络的三个优点:
B. 安全性和连接导向型VPN一样好(Security as good as connection-oriented VPNs):MPLS网络可以提供较高的安全性,类似于连接导向型的虚拟专用网络(VPN)。MPLS的标签交换机制和隔离特性可以增强网络的隐私和安全性,防范未经授权的访问。
D. 集成的QoS支持(Integrated QoS support):MPLS网络支持集成的服务质量(QoS),允许网络管理员根据业务需求对流量进行分类和处理。通过在MPLS标签中引入类别信息,可以轻松地为不同类型的流量分配适当的优先级和服务质量。
E. 支持所有变种的静态路由(All variations of Static routes are supported):MPLS网络通常对各种静态路由进行支持,使网络管理员能够有效地配置和管理路由,提高网络的灵活性。
其他选项未选择的原因:
A. 无连接服务(Connectionless Service):MPLS提供的是连接导向的服务,而不是无连接服务。它建立了标签交换的连接,通过这些连接来传输数据。
C. 提供IPS级别的智能来过滤数据包(Provides IPS level intelligence to filter packets):MPLS本身并不提供IPS(入侵防御系统)级别的智能来过滤数据包。安全功能通常需要在网络的其他层面实现。
 
  1. CoPP drop是default action for traffic that exceeds or violates the committed police rate.
TCP 22 = SSH; TCP 23 = Telnet
 
  1. Route Redistribute 没看懂
Refer to the exhibit. The route to 192.168.200.0 is flapping between R1 and R2. Which set of configuration changes resolves the flapping route?
notion image
D. R1(config)#router ospf 100 - R1(config-router)#redistribute rip metric 1 metric-type 1 subnets
 
Explanation:
R1 just redistribute RIP in EIGRP. R2 learn 192.168.200.0 route from EIGRP and R2 redistribute EIGRP in OSPF, then R2 advertise 192.168.200.0 to R1.
R1 learns 192.168.200.0 from R2 via OSPF. OSPF has AD 110 and RIP 120, so OSPF route become better than RIP route, but, for a route redistribution there is a rule that says the route must be in routing table and the source of redistribution must be the source of this route in route table, in this case, the RIP.
When R1 learn this route in OSPF, the OSPF route replace the RIP route in route table, so the rule is broken and the redistribution stop working, then R1 stops redistribuing 192.168.200.0 to EIGRP and R2 stop reciving this route and R2 stops redistribute this route in OSPF so R1 won't recive this route from OSPF anymore, then OSPF route is removed from LSDB and RIB so RIP route go to the route table and the redistribution to EIGRP starts again and the problem starts over and over If you redistribute RIP in OSPF in R1, R2 is gonna have this route as the best route from OSPF, so it does not matter if R2 learns it from EIGRP or NOT, because OSPF has AD 110 and External EIGRP 170.
 
  1. BGP
https://networklessons.com/bgp/bgp-next-hop-self
neighbor {ip-address | peer-group-name} next-hop-self
BGP如果只配置neigbor,不广告网段的话,就会发生在Router1上show ip bgp时候能够看到某个目的网段,但是show ip route的时候没有那个目的网段。
这时候要么在Router1,2,3上都广告网段,要么在R2上配置R1的next-hop是R2self
R2上配置,R1的IP,next-hop-self
 
  1. 答案对,选D
 
  1. IPv6 Prefix Guard
The network administrator must implement IPv6 in the network to allow only devices that not only have registered IP addresses but are also connecting from assigned locations. Which security feature must be implemented? A. IPv6 Snooping B. IPv6 Destination Guard C. IPv6 Router Advertisement Guard D. IPv6 Prefix Guard
IPv6 Prefix Guard (PG) is an ingress, security feature. PG helps a switch or router deny access to traffic from sources with addresses that are correct, but are topologically incorrect.
 
  1. aaa authenticatoin
The network administrator is tasked to configure R1 to authenticate telnet connections based on Cisco ISE using RADIUS. ISE has been configured with an IP address of 192.168.1.5 and with a network device pointing towards R1 (192.168.1.1) with a shared secret password of Cisco123. If ISE is down, the administrator should be able to connect using the local database with a username and password combination of admin/cisco123.
 
  1. L3VPN MPLS Application
D. The PE routers must be configured for MP-iBGP with other PE routers.
E. The P and PE routers must be configured with LDP or RSVP.
 
How an MPLS Layer 3 VPN Works MPLS Layer 3 VPN functionality is enabled at the edge of an MPLS network. The PE router performs the following tasks: • Exchanges routing updates with the CE router • Translates the CE routing information into VPN routes • Exchanges Layer 3 VPN routes with other PE routersthrough the Multiprotocol Border GatewayProtocol (MP-BGP)
 
Configuring MPLS in the Core
To enable MPLS on all routers in the core, you must configure a label distribution protocol. You can use either of the following as a label distribution protocol: • MPLS Label Distribution Protocol (LDP). • MPLS Traffic Engineering Resource Reservation Protocol (RSVP).
这里的Core应该就是P和PE了
 
  1. Refer to the exhibit. An engineer notices a connectivity problem between routers R1 and R2.
The frequency of this problem is high during peak business hours. Which action resolves the issue? A. Increase the available bandwidth between R1 and R2.
EIGRP DUAL-3-SIA Reason: -Missing or incorrect bandwidth interface configuration parameter -Incorrect bandwidth configured to influence path selection
 
  1. debug access-list
https://networkengineering.stackexchange.com/questions/46248/configuring-acl-for-dns
这题应该是问怎么troubleshooting,要在Add permit udp any eq domain any log in the access list,这样的话,log会显示出来命中规则的情况。
Your ACL is correct for udp/53, which is the port that most DNS resolution occurs on.
While DNS queries normally run over UDP/53, they can also run over TCP/53. If a DNS A-record has over (approximately) 17 IP addresses, it will exceed the size of one DNS UDP packet and normal DNS resolution will use tcp/53. This is a rare case, and most network administrators avoid putting so many A-records in their entries. But to be correct, to enable DNS resolution, you need to allow your clients to reach your DNS server on both udp and tcp port 53.
I don't have operational DNSSEC experience but internet searches seem to indicate that it also uses tcp/53. If true that's another reason to permit tcp 53.
DNS zone transfers use tcp/53. Make sure your DNS servers are configured to only allow zone transfers to specific servers you allow. That protection belongs in your DNS server configuration, not ACL configuration. Test it by trying to zone transfer from an "unauthorized" host!
Enough discussion about the need for tcp/53 and zone transfer security. The way to avoid confusion is to understand that tcp/udp sockets have 5 components:
In addition tcp sockets can have "flags". The most useful one for ACLs is the "established" flag, which is included in tcp responses.
Here are the 4 sockets you are dealing with:
Here's the (correct) ACL line you had for client to server UDP case (socket #1)
Format is as follows:
if source-port is not listed, then source port is any. That is what you want since the actual source port ranges from 1024-65535. For performance reasons its best to avoid port "range" commands in ACLs.
Here's your reply ACL line for socket #2:
That's also correct for socket 2, which has source port 53 and destination port 1024-65535 (so you use the implicit any destination port).
Adding in the TCP cases:
Of course, if you actually apply that acl, everything else will break on that vlan because of the implicit "deny ip any any" at the end.
I personally use "permit tcp any any established" in most of my ACLs, which eliminates your socket #4 line. I put that first in the ACL for performance reasons.
Adding in the TCP case:
 
  1. OSPF不同path选择,需要会员,还没细看;等我开个会员复制过来在慢慢看
https://networklessons.com/ospf/ospf-path-selection-explained
 
  1. 用户递归防范功能(uRPF)
User-Recursion Prevention Function (uRPF) is a feature used in network devices to mitigate the risks associated with IP address spoofing and ensure that incoming packets have a valid and expected source. The explanation you provided discusses the two modes of uRPF: strict mode and loose mode. Let's break it down:
  1. uRPF Strict Mode:
      • In uRPF strict mode, the device checks that the source IP address of an incoming packet is reachable via the interface that the device would use to forward a packet to that source IP address.
      • The goal is to verify that the source IP address is reachable through the same path as the expected forwarding path.
      • The drawback of strict mode is that legitimate packets may be dropped if they do not follow the expected path, potentially causing disruptions.
  1. uRPF Loose Mode:
      • In uRPF loose mode, the device checks if the source IP address of an incoming packet appears in the routing table, regardless of the interface used for forwarding.
      • Unlike strict mode, loose mode is less restrictive. It only verifies that the source IP address is present in the routing table, allowing for more flexibility.
      • Specifically, loose mode looks for any interface in the routing table other than the default route.
用户递归防范功能(uRPF)是网络设备中用于减轻IP地址欺骗风险、确保传入数据包具有有效和预期源的功能。你提供的解释涉及uRPF的两种模式:strict模式和loose模式。解释如下:
  1. uRPF Strict模式:
      • 在uRPF strict模式下,设备检查传入数据包的源IP地址是否通过设备用于将数据包发送到该源IP地址的接口可达。
      • 目标是验证源IP地址是否通过与预期的转发路径相同的路径可达。
      • strict模式的缺点是,如果数据包未按照预期路径传输,可能会导致合法的数据包被丢弃,潜在地引起中断。
  1. uRPF Loose模式:
      • 在uRPF loose模式下,设备检查传入数据包的源IP地址是否出现在路由表中,而不考虑用于转发的接口。
      • 与strict模式不同,loose模式不那么严格。它只验证源IP地址是否存在于路由表中,提供更多的灵活性。
      • 具体而言,loose模式寻找路由表中除默认路由之外的任何接口。
 
  1. BGP Neighbor不是直连的时候,需要特殊配置,下面有三种方式:ebgp-multihop 2 是一个BGP邻居的配置参数,指定了与eBGP(外部BGP)邻居建立多跳连接,并设置了最大跳数为2。
  • ebgp-multihop 2: 配置eBGP邻居的多跳连接,允许在两个路由器之间有最多2个中间路由器。这在某些情况下很有用,例如,当两个BGP邻居之间存在非直连网络时,通过设置多跳,可以允许BGP邻居关系跨越多个路由器。
这样的配置通常用于处理一些特殊网络拓扑,其中两个BGP邻居之间存在多跳路径。这确保了BGP邻居之间的连接可以跨越多个路由器,而不仅仅是直连。
 
  1. snmp-server community public RO 15解释
当AUTHFAIL提示出现,有两种情况,一种是community string用错,一种是IP不在列表里,或者是IP和string的组合不对。
Jul 23 20:18:43.254 UTC: %SNMP-3-AUTHFAIL: Authentication failure for SNMP request from host 10.1.1.101
 
  1. route-map不配置匹配条件时,默认匹配所有
1)100是extend access list序号
2)permit 20 匹配all other traffic
 
标准访问列表(Standard Access List):
  • 标准访问列表只能根据源地址进行匹配,其序号范围是1-99和1300-1999。
扩展访问列表(Extended Access List):
  • 扩展访问列表可以根据源地址、目标地址、协议、端口等多个条件进行匹配,其序号范围是100-199和2000-2699。
  • 典型的扩展访问列表命令如下:
 
  1. BGP的路由隔离和打通
notion image
1)BGP中每个neighbor配置了不同的vrf
2)需要配置中心路由器为RR,这样各个隔离的路由器的网络才能被其他学到
Connection is established between iBGP peers, but the routes advertised by the edge routers are only available if the central IT router is setting the peers as route-reflector-client. For instance, if Marketing-1 is advertising a LAN with ip 1.1.1.1/24, Marketing-2 can only reach that if they both are RRclients and IT is RR
 
  1. GRE tunnel to establish an EIGRP neighbor to a remote router
Stop sending a route matching the tunnel destination across the tunnel.
https://www.cisco.com/c/en/us/support/docs/ip/enhanced-interior-gateway-routing-protocol-eigrp/22327-gre-flap.html
 
  1. 递归下一跳 set ip next-hop recursive 10.2.2.2
set ip next-hop recursive 是一个路由映射(route-map)配置命令,通常在路由器的配置中使用。这个命令用于设置下一跳地址,而且允许递归查找下一跳地址。
在这个命令中,10.2.2.2 是一个示例的下一跳地址。实际上,recursive 参数允许路由器使用递归的方式查找下一跳地址。这意味着路由器将尝试查找下一跳的下一跳,以便找到最终的下一跳。
下面是一个简单的示例,假设有一个路由器 R1,它的下一跳地址为 10.2.2.2
在这个示例中,接口 GigabitEthernet0/0 上应用了路由映射 SET-NEXT-HOP,它会将匹配的流量的下一跳地址设置为 10.2.2.2,而且可以递归地查找该地址。
 
  1. ip vrf red ; sub interface and vlan
 
  1. BGP set PATH
notion image
The Customer Edge router wants to use AS 100 as the preferred ISP for all external routes and SP2 as a backup.
1) prepend path of self or neighbor
2) inbound route-map
 
  1. IPv6
IPV6 DHCPV6 Guard -> Block reply and advertisement messages from unauthorized DHCP servers and relay agents. IPV6 Binding Table -> Create IPV6 neighbors connected to the device from information sources such as NDP snooping. IPv6 Source Guard -> Filter inbound traffic on Layer 2 switch ports that are not in the IPV6 binding table. IPv6 RA Guard -> Block a malicious host and permit the router from a legitimate route. IPV6 ND Inspection -> Create a binding table that is based on NS and NA messages.
 
 
你提供的描述包含了一些 IPv6 相关的安全功能,让我来为你逐一解释:
  1. IPv6 DHCPv6 Guard:
      • 描述: 阻止未经授权的 DHCP 服务器和中继代理的回复和广告消息。
      • 解释: 此功能用于保护 IPv6 网络免受未经授权的 DHCP 服务器或中继代理的影响。它会检测并阻止来自不受信任来源的 DHCPv6 回复和广告消息,确保设备只接受来自可信赖的 DHCP 服务器的配置信息。
  1. IPv6 Binding Table:
      • 描述: 从信息来源(如 NDP snooping)创建连接到设备的 IPv6 邻居。
      • 解释: IPv6 Binding Table 包含设备上与 IPv6 邻居关联的信息。NDP snooping(邻居发现协议的监听)可以用于动态构建这个表,记录设备的 IPv6 邻居信息,以提高网络的安全性和可管理性。
  1. IPv6 Source Guard:
      • 描述: 在 Layer 2 交换机端口上过滤未在 IPv6 Binding Table 中的入站流量。
      • 解释: 这个功能用于限制来自未经授权设备的入站流量。只有在 IPv6 Binding Table 中的设备才被允许发送流量到网络,确保网络上只有已授权的设备可以进行通信。
  1. IPv6 RA Guard:
      • 描述: 阻止恶意主机的 Router Advertisement(路由器通告)消息,允许来自合法路由器的消息。
      • 解释: 防止网络中的恶意主机发送虚假的 Router Advertisement 消息。RA Guard 可以确保只有授权的路由器可以发送路由相关的信息,防止网络攻击。
  1. IPv6 ND Inspection:
      • 描述: 基于 NS(邻居请求)和 NA(邻居应答)消息创建一个基于邻居关系的绑定表。
      • 解释: IPv6 ND Inspection 监听网络上的 ND 消息,通过创建绑定表记录邻居关系,提供更多的安全性。这有助于检测和预防邻居欺骗等攻击。
 
  1. d
在 OSPF 中,认证秘钥(Authentication Key)用于确保 OSPF 邻居之间的信任和身份验证。通过配置消息摘要认证,路由器可以相互验证其身份,并确保接收到的 OSPF 数据包未被篡改。这有助于防止网络中的潜在攻击,例如欺骗或恶意篡改 OSPF 路由信息。
在你提供的配置中:
  • ip ospf message-digest-key 这一部分配置了 OSPF 消息摘要认证的密钥。在一个 OSPF 邻居关系中,两台路由器必须使用相同的密钥才能相互认证。这确保了 OSPF 邻居之间的通信是受保护的,并且未经授权的设备不能轻易插入到 OSPF 邻居中。
  • key chain ospf 这一部分配置了密钥链,提供了一种更为灵活的方式来管理密钥。密钥链允许定期轮换密钥,提高了系统的安全性。在你的配置中,使用了 HMAC-SHA-256 算法进行加密。
 
  1. float static route
If we want to use a static route as a backup route, we’ll have to change its administrative distance. This is called a floating static route. higher admin value to make a secondary route: Router(config)#ip route 192.168.60.0 255.255.255.0 192.168.40.2 (primary route) Router(config)#ip route 192.168.60.0 255.255.255.0 192.168.20.2 10 (secondary route)
 
  1. bgp 默认流量 TCP 179
在给定的 BGP(Border Gateway Protocol)配置中,两个访问控制列表(ACL)用于允许或拒绝特定的TCP流量。让我们分析一下这两个 ACL 的含义: 换句话说,这允许来自 1.1.1.1 的主机到达 2.2.2.2 的主机的 BGP 流量。 换句话说,这允许来自源主机 1.1.1.1 的 BGP 流量到达目标主机 2.2.2.2。
这两个 ACL 规则都是为了控制 BGP 流量而设计的,但它们在源和目标的定义上有所不同。第一个规则指定了源主机和目标主机的 IP 地址,而第二个规则只指定了源主机的 IP 地址和端口号。
 
  1. metric weights tos k1 k2 k3 k4 k5
各个参数的含义如下:
  • tos: 类型服务 (Type of Service) 字段,通常设置为 0。
  • k1k5: 这些是路径选择的权重。EIGRP 的默认权重是 k1=1k2=0k3=1k4=0k5=0。你可以根据需要调整这些值。
举个例子,如果你想强调带宽(Bandwidth)而减少时延(Delay)的影响,可以将 k1 的值设置得较大。例如:
 
  1. MP-BGP supports IPv4 unicast/multicast, IPv6 unicast/multicast and it has support for VPNv4 routes. To exchange VPNv4 routes, MP-BGP uses a new NLRI (Network Layer Reachability Information) format that has the following attributes:
  • RD (Route Distinguisher)
  • IPv4 prefix
  • Next Hop
  • VPN Label
This is how PE routers exchange VPNv4 routes with each other.
 
  1. Track延时配置防止抖动
在 Cisco 设备上,通过 IP SLA 和 Track 组合使用时,可以使用 IP SLA 的操作结果来跟踪某个目标,并根据结果来修改路由或触发其他操作。在 Track 配置中,您可以设置 delay 来定义 IP SLA 操作之间的延迟。下面是一个配置示例:
上述配置的关键点是在 track 配置中的 delay downup 参数。这两个参数分别定义了在 IP SLA 操作状态变为 "down" 之后多长时间触发 "down" 状态,以及在 IP SLA 操作状态变为 "up" 之后多长时间触发 "up" 状态。
在这个例子中,当 IP SLA 操作状态变为 "down" 后,将等待 10 秒(delay down 10),然后触发 "down" 状态。当 IP SLA 操作状态变为 "up" 后,将等待 5 秒(delay up 5),然后触发 "up" 状态。
 
  1. BGP next-hop-self
邻居,你的下一跳是我,R1-R2-R3,在R2上配置:
neighbor R1_ip next-hop-self
 
  1. EIGRP的Variance
在EIGRP(Enhanced Interior Gateway Routing Protocol)中,variance 是一个用于调整等于最佳路径成本的备选路径的倍数。这个倍数被称为 EIGRP variance。
variance越小,可备用路径越多;
 
这时就引入了 variance 参数。variance 的作用是允许一些稍微差一些的备选路径进入路由表。具体计算方法如下:
  1. 计算当前最佳路径的可行性距离(FD)。
  1. 对于每个备选路径,Distance< variance * FD,则将该备选路径添加到路由表中。
 
  1. EIGRP unequal-cost load balance
1)Feasibility condition;下图中R2,R3,R4能成为Feasible Successor需要满足条件,就是到目的的Admin Distance要小于最佳路径的Feasible Distance15;
2)Variance倍数(默认1),如果R1-R4-R5-Dest的FD < 最近路径FD * Variance;R4这条路径才能成为备选路径
 
notion image
notion image
notion image
 
497. BFD control messages are encapsulated in UDP packets. According to RFC, the destination port number is 3784 for single-hop detection, and is 4784 for multi-hop detection
Bidirectional Forwarding Detection (BFD) uses UDP (User Datagram Protocol) instead of TCP (Transmission Control Protocol) for several reasons:
  1. Low Overhead: UDP has lower overhead compared to TCP. UDP headers are simpler and require less processing, making it more suitable for a lightweight protocol like BFD, which focuses on fast detection of link or path failures.
  1. Reduced Latency: UDP operates with lower latency compared to TCP. BFD is designed for quick detection of link failures, and using UDP helps minimize the time it takes to exchange control packets and detect a failure.
  1. Simplicity: UDP is a connectionless protocol, and it does not involve the overhead of establishing and maintaining a connection, as TCP does. BFD is intended to be a simple and fast mechanism for failure detection, and the simplicity of UDP aligns with this design philosophy.
  1. Stateless Communication: BFD operates in a stateless manner, meaning it doesn't maintain long-lived connections between peers. UDP, being connectionless, aligns well with this stateless nature of BFD.
  1. Less Resource Consumption: TCP involves additional mechanisms like sequence numbers, acknowledgments, and flow control, which can introduce additional resource consumption. BFD, being a fast failure detection protocol, benefits from the reduced resource overhead provided by UDP.
 
  1. ip verify unicast source reachable-via rx
源端口防攻击命令是配置在接口下面的
if you configure ip verify unicast source reachable-via rx instead of ip verify unicast source reachable-via any, it would result in asymmetrically routed packets being blocked.
 
  1. NSSA和Stub
NSSA和Stub都block LSA4和LSA5;Total NSSA和Total Stub都block LSA 3,4,5
但是NSSA能配置在有ASBR的area;stub不能配置在有ASBR的area
 
  1. 看起来像是选C,但是感觉应该是选D
Option D, "IP forwarding," is the feature used by LDP in the forwarding path within the MPLS cloud. The MPLS forwarding path is ultimately based on the traditional IP forwarding mechanism but enhanced with the use of labels for efficient and scalable routing.
 
  1. Extended Discovery Message (Option D): The extended discovery message is part of the LDP discovery process. During this process, routers exchange information to discover potential neighbors. The extended discovery message plays a role in initiating the session establishment.
In summary, when a newly installed router is establishing an LDP session with another MPLS router to which it is not directly connected, the extended discovery message is involved in the process of discovering and initiating the session
 
  1. DHCP IP Address helper命令什么时候需要
notion image
DHCP (Dynamic Host Configuration Protocol) IP Address Helper 命令通常在以下情况下需要:
  1. 跨子网的 DHCP 服务: 当你的网络中存在多个子网,并且你希望在每个子网上都有 DHCP 服务器提供 IP 地址时,IP 地址 Helper 命令就会派上用场。在这种情况下,DHCP 请求可能无法跨越子网到达 DHCP 服务器,因为 DHCP 使用广播消息,而广播消息不能跨越路由器。启用 IP 地址 Helper 命令将帮助路由器将 DHCP 请求从客户端跨越到 DHCP 服务器。
  1. 单一子网的 VLANs: 当你在一个子网上配置了多个 VLAN,并且每个 VLAN 需要访问不同的 DHCP 服务器时,IP 地址 Helper 命令也很有用。它可以帮助路由器将 DHCP 请求从每个 VLAN 转发到相应的 DHCP 服务器。
  1. 在 VLAN 接口上配置: IP 地址 Helper 命令通常会在 VLAN 接口上配置。对于 Cisco 设备,你可以在接口配置模式下使用 ip helper-address 命令指定 DHCP 服务器的 IP 地址。例如:
    总的来说,DHCP IP 地址 Helper 命令在需要跨越子网或 VLAN 的情况下用于将 DHCP 请求从客户端转发到 DHCP 服务器。
     
    1. Which Layer 3 VPN attribute installs customer routes in the VRF? A. RD B. RT C. extended-community D. MPLS label
     
    在 Layer 3 VPN(L3VPN)中,安装客户路由到 VRF(Virtual Routing and Forwarding)的 Layer 3 VPN 属性是 B. RT (Route Target)
    Explanation:
    • RD (Route Distinguisher): RD 主要用于确保在 Provider Edge (PE) 路由器上唯一标识客户路由。它通常用于在多个客户之间避免冲突。
    • RT (Route Target): RT 用于标识哪些路由属于哪个 VPN。它确定了哪些路由应该在某个特定的 VRF 中。 RT 是控制 VPN 的关键属性之一。
    • Extended-Community: Extended community 是一个更广泛的概念,它包括了 RD 和 RT。在这个问题中,RT 是 Extended-Community 的一部分,因为它是用于将路由导入到 VRF 的关键标识符。
    • MPLS Label: MPLS label 是用于在 MPLS 网络中标记和转发数据包的标签。在 L3VPN 中,MPLS label 用于将路由从一个 PE 到另一个 PE 转发。
     
    1. no exec 则无法access
    The configuration "line vty 0 4" is used to enter the configuration mode for the Virtual Terminal (VTY) lines on a Cisco router or switch. The "no exec" command in this context is used to prevent user access to the device through these VTY lines. When "no exec" is configured, it disables the ability to execute commands on the VTY lines, effectively restricting access.
    Here's an example:
     
    1. 10.16.1.0/23 is processed as 10.16.0.0/23 (10.16.0.1 -10.16.1.255)
     
    1. 当目标 PE 设备接收到一个带有标签的数据包时,它进行的 "label popping" 操作意味着它将弹出 MPLS 标签,将数据包还原成原始的 IP 数据包,然后送到目标CE设备。
     
     
     
     
     
    Relate Posts
    FortiGate, the Top Tier NGFW
    Can Direct Connections in Different Network Segments Ping Each Other?
    GRE Tunnel Recursive Routing Error and How to Solve It
    Configuration for VLAN, DHCP, and ACL Setup for Network Segmentation
    How Would I Prepare My CCNP/ENCOR If I Start Over
    ENARSI Lab Simulation
    How Would I Prepare My CCNP/ENCOR If I Start OverENARSI Lab Simulation